En 15-årig sagde, at han opdagede sårbarhed i hardware-tegnebog

Overskrifter nynnede med opdagelsen af ​​en 15-årig Saleem Rashid om en sårbarhed, han fandt i Ledger-hardware-tegnebøger. Han blogger om den 20. marts.

Hvad er Ledger, og hvad er deres hardware -tegnebøger? Ledger, sagde Krebs om sikkerhed , et af de mange steder, der betragter teenagerens bedrift, er en virksomhed, hvis produkter er designet til fysisk at beskytte nøgler, der bruges til at modtage eller bruge brugerens kryptokurver.

For eksempel, virksomheden beskriver sin Ledger Nano S som "en Bitcoin, Ethereum og Altcoins hardware tegnebog, baseret på robuste sikkerhedsfunktioner til opbevaring af kryptografiske aktiver og sikring af digitale betalinger. Den kan tilsluttes enhver computer (USB) og integrerer et sikkert OLED-display for at kontrollere og bekræfte hver transaktion med et enkelt tryk på sideknapperne. "

Så, som Krebs forklarede, "Hardware -tegnebøger som dem, der sælges af Ledger, er designet til at beskytte brugerens private nøgler mod ondsindet software, der kan forsøge at høste disse legitimationsoplysninger fra brugerens computer. Enhederne muliggør transaktioner via en forbindelse til en USB -port på brugerens computer, men de afslører ikke den private nøgle til pc'en. "

Er det at have private nøgler, der kan tilsluttes en pc via en USB -port, den perfekte beskyttelse eller den perfekte storm? Enhver, der tænker på et sådant spørgsmål, blev tiltrukket af bloggen, der blev sendt af Rashid. Han sagde, at en angriber kunne bruge sårbarheden til at få private nøgler fra enheden.

Krebs rapporterede, at Kenneth White, direktør for Open Crypto Audit Project, var imponeret over Rashids proof-of-concept angrebskode, som Rashid sendte til Ledger for cirka fire måneder siden. (Saleem Rashid takkede Josh Harvey for at have givet ham en Ledger Nano S, at arbejde på hans udnyttelse.)

Dan Goodin ind Ars Technica fremlagt en redegørelse for, hvad Rashid gjorde. Han sagde, at den 15-årige viste proof-of-concept-kode, der tillod ham "at bagdøre" Ledger Nano S-hardware-tegnebogen.

John Biggs i TechCrunch bemærkede, at Ledger -administrerende direktør Eric Larchevêque hævdede, at der ikke var rapporter om sårbarhedens virkninger på aktive enheder. Joon Ian Wong, Kvarts , rapporterede på samme måde, at Ledger sagde, at det ikke var bekendt med midler, der er blevet stjålet fra enhederne. "

Ledgerembedsmænd, imens, opdaterede Nano S for at løse sårbarheden. Alphr rapporterede, at Ledger udstedte en patch til Ledger Nano S, fire måneder efter den første afsløring. Så hvad angår Nano S, Ledger sagde, at problemet var løst.

Virksomhedsbloggen indsendte den 20. marts "Firmware 1.4:dykker ned i tre sårbarheder, der er rettet, "vedrørende" sikkerhedsforbedringer foretaget af vores firmware. "De sagde, at de kraftigt opfordrede deres brugere til at opdatere deres firmware ved at følge deres trin for trin vejledning.

Ifølge Ledger, firmwareopdateringen lapper tre sikkerhedsproblemer. "Opdateringsprocessen verificerer integriteten af ​​din enhed, og en vellykket 1.4.1 -opdatering er garantien for, at din enhed ikke har været målet for et af de lappede angreb. Der er ingen grund til at foretage andre handlinger, dine frø- / private nøgler er sikre. "

Ledger har kontorer i Paris, Vierzon og San Francisco.

I det større billede, som mange sikkerhedsforskere siger, det er bedst ikke at antage, at en enhed er immun mod angreb.

Biggs i TechCrunch vejede ind:"I sidste ende, dette brud viser os, at hardware -tegnebøger er en god løsning, men stadig ikke er idiotsikre. Regelmæssige opdateringer og omhyggelig nøglehåndtering er stadig afgørende. "

Citeret af BBC nyheder , Craig Young, en forsker ved sikkerhedsfirmaet Tripwire, kommenterede:"Det er meget svært at grundigt sikre enhver enhed mod angribere med fysisk adgang. Derfor er det så vigtigt at have betroede komponentproducenter, købmænd, og reparationsfaciliteter. "

© 2018 Tech Xplore